¡Pide presupuesto en 2 min! ✓
ProfesionalesSectores

Protección de datos para un centro de estética

¿Tienes un centro de estética y no sabes cómo tratar la información personal de tus pacientes? En esta guía te explicamos cómo adaptar tu centro de estética a la Ley de Protección de datos para 2021 y 2022.

En este artículo hablamos de:

Normativa de protección de datos para centros de estética

En los centros de estética se recoge numerosa información personal relativa a sus pacientes, entre la que puede figurar datos relativos a su salud. Además, también se manejan datos personales de los empleados y de aquellos profesionales que se puedan tener contratados.

Este hecho obliga a prácticamente cualquier centro de estética a cumplir con la siguiente normativa:

  • Reglamento General de Protección de Datos (RGPD)
  • Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD)

Obligaciones LOPDGDD y RGPD para los centros de estética

Tanto la ley como el reglamento de protección de datos establecen una serie de obligaciones en materia de protección de datos que los centros de estética deben cumplir si quieren evitar ser sancionados por la AEPD (Agencia Española de Protección de Datos).

Entre esas obligaciones está llevar un registro de todas las actividades de tratamiento de datos personales realizadas por el centro de estética (profundizaremos en ello más adelante), así como cumplir con el deber de informar previamente a sus clientes sobre los datos a tratar y la finalidad de dicho tratamiento, para así poder recabar el consentimiento expreso para el uso de los datos recabados.

Así mismo, el centro de estética deberá nombrar e identificar al responsable del tratamiento (que será el propio centro o su titular).

¿Cómo implantar la normativa de protección de datos en un centro de estética?

Para adaptar tu centro de estética a la Ley de Protección de Datos, aparte de cumplir con las obligaciones citadas en el punto anterior, se deben realizar las siguientes medidas y acciones.

tarifas proteccion datos

Crear el registro de actividades de tratamiento

Como ya hemos dicho, hay que crear el registro de actividades de tratamiento; en él se recogerán todos los tratamientos de datos personales realizados en el centro de estética en diferentes ficheros (empleados, pacientes, videovigilancia, etc.).

Cada fichero o registro debe detallar toda la información relativa al tratamiento de datos personales:

  • Nombre y datos de contacto del responsable del tratamiento y, si procede, del encargado del tratamiento, el corresponsable, el representante y el delegado de protección de datos.
  • Finalidad del tratamiento.
  • Descripción de categorías de datos e interesados.
  • Categorías de destinatarios existentes o previstos (incluidos los de terceros países y organizaciones internacionales.
  • Transferencias internacionales de datos y documentación de garantías para esas transferencias (si procede).
  • Plazos de conservación de los datos.
  • Descripción de las medidas de seguridad establecidas.

El registro de actividades de tratamiento es un documento de carácter interno, que responsables y encargados deben mantener actualizado, y, en caso de que la AEPD lo solicite en el proceso de una inspección o investigación, deben facilitárselo.

El contrato de encargo del tratamiento

Siempre que se vayan a ceder datos a terceros, es necesario firmar con ellos un contrato de encargado del tratamiento, en el que el responsable del tratamiento establece las obligaciones de este y los fines para los que está autorizado usar los datos cedidos.

En el caso de un centro de estética, se ceden datos a terceros cuando se tiene contratada una gestoría que lleva las nóminas de los empleados, se usa una plataforma en la nube para gestionar y almacenar fichas de pacientes o se tiene contratado un servicio de videovigilancia.

Recoger el consentimiento informado en el centro de estética

Para recabar datos personales y proceder a su tratamiento, la normativa de protección de datos establece el consentimiento expreso de los interesados como un requisito indispensable.

Los centros de estética deben recabar el consentimiento de sus pacientes para recoger sus datos personales y tratarlos, para lo que previamente les habrán informado de la finalidad del tratamiento, así como si esos datos serán cedidos a terceros y qué uso podrán hacer de ellos esos terceros.

Este consentimiento debe recogerse por escrito, o, al menos, quedar registrado de alguna forma. Lo habitual es solicitarlo al crear la ficha del paciente, añadiéndolo como una cláusula más.

Los datos recabados con este consentimiento no podrán usar para otros fines diferentes a los que se informó, siendo necesario recabar un nuevo consentimiento si se desean utilizar con otro fin.

El uso de datos personales sin consentimiento está prohibido y es motivo de sanción por parte de la AEPD.

Realizar un análisis de riesgos del tratamiento

Con carácter previo a cualquier tratamiento de datos personales, es necesario hacer un análisis de riesgos, para poder detectar e identificar los posibles riesgos que pueden afectar a los datos personales tratados y las consecuencias que tendría para los interesados.

El análisis de riesgos debe servir, además para establecer las medidas de seguridad adecuadas para minimizar o eliminar la posibilidad de materialización de dichos riesgos.

Es importante mantener en mente que los riesgos no solo están en el ámbito digital, sino que también hay que tener en cuenta aquellos físicos, como puede ser un incendio o un robo de documentación en el centro de estética.

¿Es necesario hacer una evaluación de impacto del tratamiento de datos?

En el caso particular de los centros de estética, puesto que pueden llegar a tratar datos relativos a la salud, que pertenecen a categorías de datos especiales, que solo pueden ser tratados bajo determinadas circunstancias y deben contar con especial protección, sí es necesario realizar una evaluación de impacto del tratamiento de datos (EIPD).

La EIPD es un informe en el que se recogen las características del tratamiento de datos personales, los riesgos que puede suponer para los derechos fundamentales de los interesados y las medidas que deben implementarse para reducir tanto las posibilidades de que el riesgo se materialice, como para mitigar las consecuencias en caso de su materialización.

Cláusulas de confidencialidad para empleados del centro de estética

Es necesario que los empleados del centro de estética respeten también la confidencialidad de la información personal a la que pueden tener acceso en el desempeño de sus obligaciones laborales.

Para asegurar que se cumple con este deber, se puede incluir cláusula de confidencialidad en el contrato laboral, en la que se especifiquen las posibles consecuencias de no cumplirla.

¿Necesita tu centro de estética un Delegado de Protección de Datos?

Si en el centro de estética se manejan datos personales sensibles, como pueden ser historias clínicas, a gran escala o se lleva a cabo un tratamiento automatizado de perfiles, será obligatorio designar un Delegado de Protección de Datos (DPO).

El DPO puede ser tanto un empleado interno, siempre que cuenta con formación en materia de protección de datos, o contratarse de manera externa a una consultora de protección de datos. Normalmente se recomienda la contratación externa, puesto que ofrece una mayor garantía de independencia respecto al centro de estética, un requisito indispensable para el DPO.

Si tu centro de estética tiene una página web, no olvides los textos legales

La normativa actual de protección de datos para centros de estética obliga a estos, en caso de que tengan una página web para la promoción del centro, incluir los siguientes textos legales:

  • Aviso legal: Aquí se identifica al propietario de la web, incluyendo el nombre o razón social, el NIF, el correo electrónico y, si procede, el número de inscripción en el registro mercantil.
  • Política de privacidad: Donde se informa del tratamiento de datos que realiza el centro de estética. Este texto legal de protección de datos debe incluir, como mínimo, la identidad del responsable (y encargado, corresponsable o representantes, si procede), la finalidad del tratamiento, si se ceden datos a terceros, identificando a estos y el fin que harán de los datos, el plazo de conservación de los datos y las vías para que los usuarios puedan ejercer sus derechos ARSULIPO.
  • Política de cookies: Se informará a los usuarios de que la web emplea cookies y cuáles emplea.  A través del aviso de cookies, los usuarios podrán aceptar o no el uso de cookies y acceder a la política de cookies completa, donde se describen todas las cookies que usa el sitio web y a quién pertenecen.

Los textos legales deben ser siempre accesibles desde cualquier parte de la página web, lo habitual es que aparezcan en el footer (la parte inferior de la web). Además, deben estar redactados con un lenguaje claro y comprensible, que prescinda de tecnicismos.

Informa a tus clientes de sus derechos ARSULIPO

Se debe informar a los clientes o pacientes de los derechos que pueden ejercer respecto a sus datos personales, los denominados derechos ARSULIPO, es decir, los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Notificación de brechas de seguridad

En caso de que se produzcan brechas de seguridad, la normativa de protección de datos obliga a los centros de estética (como a otros negocios) a informar de las mismas a la autoridad de control, que en España es la AEPD. Se informará de este tipo de incidentes de seguridad, cuando estos hayan podido poner en riesgo la confidencialidad, disponibilidad o integridad de los datos y debe hacerse en un plazo máximo de 72 horas.

El centro de estética también deberá informar a los interesados cuando sus datos personales hayan podido verse expuestos y las consecuencias puedan causarles perjuicios o amenazar sus derechos fundamentales.

Información a los propietarios de los datos

Como ya dijimos en el apartado del consentimiento, para cumplir con la Ley de Protección de Datos, los centros de estética tienen que informar con carácter previo al tratamiento de sus datos personales, de los siguientes elementos:

  • Nombre del responsable.
  • Legitimación para la recogida de los datos, es decir, el por qué del tratamiento de los datos.
  • Finalidad del tratamiento.
  • Los derechos de los interesados, incluyendo el interponer una reclamación ante la AEPD, y cómo ejercitarlos.

Auditorías periódicas

Las auditorías no están recogidas como una obligación ni el RGPD ni en la LOPDGDD, pero lo que sí exigen al centro de estética es demostrar que cuenta con las medidas de seguridad adecuadas y efectivas para garantizar la protección de datos de sus pacientes y empleados.

La mejor forma de poder demostrar esto es mediante auditorías periódicas, especialmente si las realiza un servicio externo especializado en protección de datos.

Las auditorías, además, ayudarán al centro de estética a mejorar sus medidas de seguridad, si se detectan carencias, algo que podría derivar en la imposición de sanciones ante una inspección de la AEPD.

Sanciones por incumplimiento de la normativa de protección de datos

No cumplir con la normativa de protección de datos en tu centro de estética puede conllevar la imposición de sanciones administrativas, cuya cuantía dependerá de la gravedad de la infracción. Esta clasificación está recogida en los artículos 72, 73 y 74 de la LOPDGDD, así como en los apartados 4, 5 y 6 del artículo 83 del RGPD.

  • Sanciones hasta 40.000 € para infracciones leves.
  • Sanciones de 40.001 € a 300.000 € para infracciones graves.
  • Sanciones de 300.001 € a 20 millones de euros o el 4% de la facturación anual (la cuantía que sea más elevada) para infracciones muy graves.

Preguntas frecuentes que nos hacen los centros de estética

¿Estoy obligado a cumplir la LOPDGDD?

Sí, porque en la actividad profesional se tratan datos de terceras personas.

¿Cuándo trato datos de carácter personal?

Siempre que se traten datos que permitan identificar a una tercera persona física, como un paciente o empleado.

Hay que destacar que la legislación actual no incluye a las empresas o sociedades en la protección de datos, es decir a las personas jurídicas.

¿Qué tipo de consentimiento me tienen que firmar mis pacientes para que pueda tratar sus datos?

Al tratar datos sensibles, el consentimiento debe ser expreso, es decir con una clara acción afirmativa por parte del paciente, así como también específico para cada tratamiento.

Por ejemplo, si primeramente recabamos el consentimiento para tratar sus datos con fines médicos y, más adelante, queremos utilizar dichos datos para una campaña de marketing u otra finalidad diferente a la primera, deberemos volver a solicitar su consentimiento para esta nueva acción.

¿Cuánto tiempo puedo guardar los expedientes de mis pacientes?

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.

No obstante dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica, los cuales detallamos más en profundidad en el siguiente enlace.

¿Puedo usar mensajería instantánea para enviar datos de mis pacientes?

La comunicación de datos médicos confidenciales mediante mensajes de texto SMS y otro tipo de mensajes electrónicos no cifrados está prohibido, por infringir las leyes de Protección de Datos.

¿Y por WhatsApp?

Dado que los mensajes en WhatsApp viajan cifrados de extremo a extremo, podrían enviarse datos personales a través de esta app de mensajería. Sin embargo, es necesario contar con el consentimiento del paciente para usar esta vía como comunicación.

En cualquier caso, es desaconsejable usar WhatsApp para realizar este tipo de comunicaciones con información médica o relativa a la salud del paciente.

Consejos prácticos para comunicaciones electrónicas con datos de salud

  • Los centros de salud y clínicas deben implementar políticas para impedir el uso de mensajes de texto no seguros, tanto entre los propios médicos como con los pacientes para comunicar información de la salud de un paciente.
  • Los sistemas de comunicación directa con el software médico son los únicos admitidos como medio de comunicación con los pacientes. Si este sistema de comunicación directa no puede ser utilizado, debe ser reemplazado por una llamada telefónica.
  • El envío de recetas y otras órdenes médicas a través de mensajes SMS u otro tipo de mensajes seguros cifrados está prohibido.

¿Necesitas ayuda para adaptar tu centro de estética al RGPD y la LOPDGDD?

Cumplir con la normativa de protección de datos en tu centro de estética puede resultar complejo, además de consumir tiempo. Por ello, si necesitas ayuda o asesoramiento personalizado para adaptar tu centro al RGPD y la LOPDGDD, contacta con Grupo Atico34.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.